实名认证解IP地址冲突和网络安全之困

文/刘坚强

实名认证解IP地址冲突和网络安全之困

文/刘坚强

随着数字校园不断深入发展，各高校的校园网发展越来越快，智能化的程度也越来越高，以前的设备、技术、方法不能满足师生的需求，所以加快校园网的智能化发展是未来的趋势，校园网的实名认证又是校园网扩建工程中的重要部分，它能有效支撑校园网的智能化发展。

背景

在没实施实名认证之前，校园网的用户（包括单位用户和家庭用户）上网都是固定的IP地址。但是也可以说是不固定的，因为我们学院把每个部门和每栋家属楼细化了VLAN，在这个VLAN中一般IP地址划分给这个VLAN。

所以有的用户知道这种情况后，科室或者家里增加了电脑，就能猜到IP地址，如果和别人的发生了冲突，那么会造成抢网的事件，而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患，如果用户中毒或者在网上发布影响学校或者国家的帖子，可能找不到本人。正是由于这些不利的因素，学校准备实施校园网扩建工程的实名认证。

方案介绍

“学院校园网项目”是校园网工程的一部分，包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。

项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面，主干双链路千兆到楼宇汇聚，并保证子网的每个信息点有802.1X认证的交换机端口。同时，还要保证在接入层实现安全控制接入。

实施要求

软件上需要能够提供对学生上网的管理，如用户合法性的验证，IP、MAC的绑定，帐号的分配及管理；日常运营所需要的收费、计费服务；学生自助服务系统和设备管理。交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务，汇聚交换机能够提供VLAN划分和三层交换，接入需要支持802.1X以保证运营的实施。

学院校园网拓扑图如图1。

网络拓扑说明

图1 学院校园网拓扑

出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。

核心层采用两台RG-S8606核心交换机，负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT，千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G，同时也可提供接入服务，使用双绞线与接入交换机S2026F互联。

方案实施

首先需要安装SAM服务器，学院选用的是RG-SAM 2.x企业版,拥有2000用户。

其次是安全管理规划，系统使用Windows2003 Server+SP2，并在相应网站下载补丁程序升级，并建议客户预装杀毒程序以保障机器的安全。

同时在交换机上通过ACL做服务器网段和用户网段的隔离，并进行端口过滤，只允许服务器进行所需端口通过。

a)8080.TCP端口.http访问端口

b)8443.TCP端口,https访问端口

c)1812.UDP端口.默认的认证报文接收端口

d)1813.UDP端口.默认的记帐报文接收端口

e)1433.TCP端口.SQL SERVER的默认监听端口

f)1434.UDP端口.SQL SERVER的默认监听端口.

g)8009.TCP端口.ajp端口

h)1099.TCP端口.jnp端口

i)1098.TCP端口.rmi端口

j)8090.TCP端口.JBossMQ OIL service端口

k)8092.TCP端口.JBossMQ OIL2 service端口

l)8093.TCP端口.JBossMQ UIL service端口

m 4444.TCP端口.RMIOBJECTPort

n)4445.TCP端口.ServerBindPort

o)1162.UDP端口.JBoss snmp agent端口.

数据库系统规划

安全管理规划：数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。

数据的备份：

1.SQL Server Agent服务启动，建数据库维护计划实现数据库备份，计划的名字为sambackup。

2.SQL数据的备份采用完全备份方式，备份目录为k:/backup，备份时间为每天凌晨三点，保留一个月内的完全备份数据。

3.由于RG-SAM的后台数据信息非常重要，需要经常性质地将数据进行备份。

数据的恢复：

在原服务器上完全备份数据到指定的文件（假定为SAMdata060526）

1.手动备份数据库。

2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。

3.删除原数据库中的sam关联。

4.在后台数据库中创建和sam帐号的关联。成功完成后，移到新服务器上，便可在新服务器上启动SAM，注意启动前要将服务器的IP改为原服务器的IP。

SAM系统规划及设置

用户开户的方式

采用批量导入的方式进行用户开户。

将要开户的用户按一定的格式编辑成相应的文本文件，在管理界面中批量导入进行开户。

1.在开户之前先要定义组，比如说办公的用户就划分为office组，家庭的划分为home组，学生的划分为student组等等，然后把个人的姓名拼音当做用户名，绑定IP地址，最后选择组（请个人账户的格式是用户名+IP地址+组）。此外，我们为什么没有绑定MAC地址，是因为如果用户电脑换了或者网卡换了就不能上网了，考虑到这原因，我们就没有绑定MAC地址，也是为了便于管理。

2.接入交换机sam系统配置

Switch#config t 进入全局配置层以后,配置以下:

3.所有用户需要安装客户端，设置在网络中心注册的合法IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码，选择网卡类型（为什么要选择网卡类型，因为有些电脑是二个网卡，软件自己是识别不出来的，所以要选择填了正确IP地址的网卡），点击链接，那么你的电脑就会自动和SAM服务器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上网了（这个匹配的时间就1-2秒钟）。

4.部分用户可能觉得这样上网麻烦，那可以在这个用户参数设置里面把“保存密码”，“启动软件后自动认证”，“开机自动运行”这三项前面打勾，那么启动电脑，这个认证的软件就自动认证。

方案实施后的效果

自从校园网实施实名认证升级后，再也没有发生过IP地址冲突之类的事件，而且还限制了用户在办公室或者家里私自接内网，防止破坏校园网整体结构。

在实施实名后，通过每个用户名和IP地址绑定，如果用户中毒或者是在网上发影响学校或者国家的帖子，可以找到他的IP地址，从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患，也为网管人员减轻了不少工作负担！

(作者单位为湖北省咸宁职业技术学院网络中心)

经纬中天直播录播系统充分满足用户需求

本刊讯 近日，由新疆自治区教育厅、自治区文明办、自治区广电局联合主办的自治区“第一届大学生双语能力大赛”成功落下帷幕。经纬中天作为本次活动的唯一指定直播录播技术支持厂商，用其高端的直播录播系统为此次活动提供了全面的实时在线直播录播支持。

活动现场的直播录播系统是北京经纬中天信息技术有限公司基于流媒体技术、互动通讯、多媒体内容管理等技术完全自主开发而成的。相比传统的直播录播系统，经纬中天的直播录播系统功能更加完善，不仅仅有视频直播，还增加了图文、图片、互动、VGA屏幕等内容的在线直播录播。同时，设计也更加人性化，提供了完善的后台审核功能，真正地从用户角度出发，充分满足了用户的需求。